美國聯邦貿易委員會(FTC)已經成立超過百年時間了。自成立以來,該機構就一直負責保護消費者。正如人們預料的那樣,隨著網際網路越來越商業化,該機構承擔的責任也發生了巨大的改變。

在網際網路時代,該機構擁有了調查職能。PLC智慧財產權部門的律師Jennifer Woods提到:“聯邦貿易委員會法第五節給予了FTC權利來調查那些“商業活動中的不公平和欺詐行為”,FTC也已經越來越多地將這些權利用在隱私及資料安全內容上,並開始調查各種各樣的“不公平”或“欺騙性”行為。”

通過這些調查,FTC成員在如何在不斷變化的數字環境中保護消費者上形成了一些有趣的見解及獨特的視角。為了分享這些知識,FTC發表了從安全開始,業務指南:FTC案例中得到的經驗教訓(PDF)。

該指南的介紹解釋說,這些“經驗教訓”是來自FTC調查的50個執法行動案例的結果。該指南介紹說:“這些解決方案及案例細節僅僅適用於這些公司。但這些案例中涉及的失誤可以幫助企業改善其做法。”

1459268070-6971-3417eb9bbd9018641fcf1c
十大經驗教訓

1:從安全開始

這聽起來很簡單,但並非所有的企業都意識到安全應該是首要考慮的東西。指南建議:“將安全當作企業每個部門(人力,銷售,財務,資訊科技等等)決策的考慮因素。”

例如,沒有特別的原因就收集和儲存資訊不再是一個穩健的經營策略。這份指南舉了RockYou的案例為例子。該公司出於某種原因收集了使用者的電子郵件地址以及密碼。

2:控制敏感資料的訪問許可權

如果企業有正當的理由有保留敏感資料,指南建議企業採取一些合理措施來保證資料的安全。如果員工工作中不涉及機密資訊,那麼企業也沒必要讓這些員工訪問這些資料。管理訪問許可權的設定也是如此。

FTC用Twitter的案例來說明了這一點。FTC指控該公司將Twitter系統(包含會員賬戶)的管理控制權授予了幾乎每名員工。指控稱,這種型別的訪問會增加資料洩露的風險。

3:要求使用密碼及身份認證

如果企業儲存了敏感資訊,那麼企業需要部署一個強大的身份認證策略及密碼驗證以確保僅有授權使用者才能連線資料。負責人應該堅持使用複雜,獨一無二的密碼,確保密碼安全儲存並防範暴力攻擊。

還是Twitter的案例,FTC調查發現Twitter允許員工使用常見的詞彙作為管理密碼。調查還發現,很多不同的賬戶可以使用相同的密碼訪問。FTC稱:“寬鬆的做法讓Twitter系統很容易被那些使用密碼猜測工具的黑客侵入,或被竊取員工裝置的人用同樣的密碼登入。”

4:加密儲存敏感資料並在傳輸過程中進行保護

對於那些儲存敏感資料是業務需要的企業。該指南提供了一些建議。

儲存及傳輸過程中,使用強大的加密演算法來保證機密資料安全

專家們以及開發出適用於您的業務的加密標準—-使用它

適當的安裝和配置很有必要

該指南也給出了加密措施應用不恰當的案例。Fandango及Credit Karma在移動應用中使用SSL加密。沒有部署其他安全補償措施的話,SSL證書驗證可以被關閉。指南解釋說:“這使得應用程式容易受到中間人攻擊,這會讓黑客給對這些應用傳輸的敏感資料進行解密。”

5:分段網路並監控進出網路的人員

通過防火牆將敏感資料隔離在一個受限接入的網路段,這也是企業需要思考的一些問題。

該指南還強調入侵檢測系統(IDS)的需求,指南舉了一個CardSystems的案例。沒有使用IDS,該公司無法發覺黑客侵入公司網路,收集敏感資料並每四天將資料傳送到遠端位置。

6:保護網路遠端訪問

很多著名的資料洩露事件都是從遠端訪問開始的。回顧這些案例,研究人員發現,企業應重點關注兩個因素:確保終端安全及限制遠端訪問的可用性。

該指南談到對Dave & Buster的調查時稱:“FTC指控該公司未能限制第三方訪問其網路。通過利用第三方公司系統的安全漏洞,入侵者多次連線網路並截獲私人資訊。”

7:開發新產品時,應用完善的安全實踐

這條經驗教訓是針對軟體開發者的。通過系列調查案例,該指南明確指出了企業需要做的東西:

培訓工程師程式碼安全相關知識

遵循針對安全性的平臺指南

核實隱私及安全功能是否有用

測試已知的軟體漏洞

最後一條似乎是顯而易見的,但事實並非如此。FTC調查發現了十幾個企業沒有測試軟體產品漏洞的案例,包括流行的SQL隱碼攻擊。

8:確保服務提供商採取了合理的安全措施

談到服務提供商時經常充滿著很多假定條件。指南寫到:“採取合理的步驟選擇那些採用合理安全措施的服務提供商並監控它們有無滿足企業要求。”

FTC在Upromise的案例上直接說到了這一點。Upromise僱傭了一個服務提供商開發瀏覽器工具欄。該軟體理應在傳送資料之前刪除敏感資料。但實際上該服務提供商並沒有這麼做。指南並沒有說敏感資料洩漏引起了什麼問題。但如果引起了問題,Upromise就必須負起責任。

9:建立流程以保證安全,防止洩漏

流程看起來似乎並不重要,但如果有任何法律問題的話,有無適當的流程會對法庭審判產生大影響。FTC指南作者還建議:“確保軟體及網路的安全並非一個一勞永逸的交易。這需要企業建立一個不斷更新的流程並時刻保持警惕。”

10:確保紙,物理介質以及裝置的安全

企業往往會專注數字安全而忘掉老式的紙質產品的安全。根據FTC的控訴:Rite Aid及CVS Caremark將敏感個人資訊(如處方)丟到垃圾箱裡。

來源:企業網D1Net